PHP中自帶了相當多的加密的方法,這裡我們來看一下mcrypt擴充套件的使用方式。(也是在工作中需要用這個東西加密訪問使用者的Cookie的值,認真的學習了這個方面的內容。)
1.簡介
Mcrypt是PHP的一個擴充套件,完成了常用加密演算法的封裝。其實該擴充套件是對mcrypt標準類庫的封裝,mcrypt完成了相當多的常用加密演算法,如DES, TripleDES, Blowfish (default), 3-WAY, SAFER-SK64, SAFER-SK128, TWOFISH, TEA, RC2 和 GOST加密演算法,並且提供了CBC、OFB、CFB 和 ECB 四種塊加密的模型。
2.安裝和使用
要使用該擴充套件,必須首先安裝mcrypt標準類庫,可以在http://mcrypt.sourceforge.net 下載。該擴充套件的編譯和安裝方式和常規的php擴充套件相同,不在詳細說明了。
3.四種塊加密模型
Mcrypt支援四種塊加密模型,簡要說明如下:
a. MCRYPT_MODE_ECB(electronic codebook) 適合對小數量隨機資料的加密,比如加密使用者的登入密碼之類的。
b. MCRYPT_MODE_CBC (cipher block chaining) 適合加密安全等級較高的重要檔案型別。
c. MCRYPT_MODE_CFB (cipher feedback) 適合於需要對資料流的每一個位元組進行加密的場合。
d. MCRYPT_MODE_OFB (output feedback, in 8bit) 和CFB模式相容,但比CFB模式更安全。CFB模式會引起加密的錯誤擴散,如果一個byte出錯,則其後續的所有byte都會出錯。OFB模式則不會有此問題。但該模式的安全度不是很高,不建議使用。
e. MCRYPT_MODE_NOFB (output feedback, in nbit) 和OFB相容,由於採用了塊操作演算法,安全度更高。
f. MCRYPT_MODE_STREAM 是為了WAKE或者RC4等流加密演算法提供的額外模型。
NOFB和STREAM僅當mycrypt的版本號大於等於libmcrypt-2.4.x才有效。(現在基本上都是大於這個版本了,libmcrypt的最新主版本已經到4了)
4.檢視支援的演算法和模型
a. mcrypt_list_modes()列出當前環境支援的模型
b. mcrypt_list_algorithms()列出當前環境支援的演算法
如命令列執行:
php -r "var_dump(mcrypt_list_modes()); var_dump(mcrypt_list_algorithms());"
即可列出所有的結果。
5.如何使用
example1.
<?php$key = "this is a secret key";$input = "Let us meet at 9 o'clock at the secret place.";$encrypted_data = mcrypt_ecb (MCRYPT_3DES, $key, $input, MCRYPT_ENCRYPT);?>
最簡單的方式如example1中所示,該方法表明對$input使用3DES的演算法進行加密,加密金鑰是$key.不過這中直接呼叫的方法已經不被官方推薦使用,也建議大家在開發中不要使用此種方式,不一定哪天該方法就不能用了。在php5下使用此種方式呼叫時,能看到一條warning資訊,提示“PHP Warning: attempt to use an empty IV, which is NOT recommend”。
官方推薦的使用方式如example2所示
example2.
<?php $key = "this is a secret key"; $input = "Let us meet at 9 o'clock at the secret place."; // 開啟mcrypt,或者mcrypt型別的資源物件,該物件使用ecb模式,使用3des作為加密演算法。 $td = mcrypt_module_open('tripledes', '', 'ecb', '');
// 建立iv(初始化向量) $iv = mcrypt_create_iv (mcrypt_enc_get_iv_size($td), MCRYPT_RAND);
// 根據金鑰和iv初始化$td,完成記憶體分配等初始化工作
mcrypt_generic_init($td, $key, $iv); // 進行加密
$encrypted_data = mcrypt_generic($td, $input); // 反初始化$td,釋放資源
mcrypt_generic_deinit($td); // 關閉資源物件,退出
mcrypt_module_close($td);?>
上述過程完成了資料的加密過程。首先選擇加密演算法和加密模式建立mcrypt的資源物件和IV,然後初始化加密所需的buffer(記憶體),進行加密後再釋放buffer,最後關閉資源物件。
解密的過程和加密是基本相同,只要把mcrypt_generic($td, $input)替換成mdecrypt_generic($td, $input)就可以了,其它部分完全相同。當然,對於3des這種對稱加密演算法而言,加密、解密所用的key是必須完全相同的。
6. 有關IV
不是所有的模型中都需要IV. CFB和OFB是必須有IV, CBC和EBC則是可選的。對於必選IV的模式來說,其加密和解密的IV的值必須完全相同,CBC和EBC則無此要求。可以相同也可以不同,沒什麼關係。
7.一個簡單功能的加密解密類
class AMPCrypt { private static function getKey(){ return md5('exampleKey'); } public static function encrypt($value){ $td = mcrypt_module_open('tripledes', '', 'ecb', ''); $iv = mcrypt_create_iv(mcrypt_enc_get_iv_size($td), MCRYPT_DEV_RANDOM); $key = substr(self::getKey(), 0, mcrypt_enc_get_key_size($td)); mcrypt_generic_init($td, $key, $iv); $ret = base64_encode(mcrypt_generic($td, $value)); mcrypt_generic_deinit($td); mcrypt_module_close($td); return $ret; } public static function dencrypt($value){ $td = mcrypt_module_open('tripledes', '', 'ecb', ''); $iv = mcrypt_create_iv(mcrypt_enc_get_iv_size($td), MCRYPT_DEV_RANDOM); $key = substr(self::getKey(), 0, mcrypt_enc_get_key_size($td)); $key = substr(self::getKey(), 0, mcrypt_enc_get_key_size($td)); mcrypt_generic_init($td, $key, $iv); $ret = trim(mdecrypt_generic($td, base64_decode($value))) ; mcrypt_generic_deinit($td); mcrypt_module_close($td); return $ret; }}